
- •Содержание
- •Лекция 1. Понятие информационной безопасности.
- •Основные составляющие информационной безопасности
- •Важность и сложность проблемы информационной безопасности.
- •Лекция 2. Комплексный поиск возможных методов доступа
- •1) Попытки выяснения пароля прямо или косвенно;
- •Лекция 3. Законодательный уровень информационной безопасности
- •Лекция 4.1 Стандарты и спецификации в области информационной безопасности.
- •Лекция 4.2 Руководящие документы Гостехкомиссии России.
- •Требования к защищенности автоматизированных систем.
- •Расследование компьютерных преступлений.
- •Лекция 5. Административный уровень информационной безопасности.
- •Политика безопасности
- •Программа безопасности
- •Синхронизация программы безопасности с жизненным циклом систем
- •Лекция 6. Управление рисками.
- •Подготовительные этапы управления рисками
- •Основные этапы управления рисками
- •Лекция 7. Процедурный уровень информационной безопасности.
- •Управление персоналом
- •Физическая защита
- •Поддержание работоспособности
- •Реагирование на нарушения режима безопасности
- •Планирование восстановительных работ
- •Лекция 8. Основные программно-технические меры обеспечения информационной безопасности.
- •Особенности современных информационных систем, существенные с точки зрения безопасности.
- •Архитектурная безопасность
- •Лекция 9 Идентификация и аутентификация, управление доступом.
- •Парольная аутентификация
- •Одноразовые пароли
- •Идентификация/аутентификация с помощью биометрических данных
- •Управление доступом
- •Контроль целостности.
- •Методы обеспечения безотказности
- •Лекция 10 . Экранирование, анализ защищенности.
- •Архитектурные аспекты
- •Анализ защищенности
- •Безопасность локальных сетей
- •Основные цели сетевой безопасности
- •Лекция 11. Туннелирование и управление. Туннелирование.
- •Управление.
- •Возможности типичных систем
- •Лекция 12. Заключение. Что такое информационная безопасность. Основные составляющие информационной безопасности. Важность и сложность проблемы информационной безопасности.
- •Законодательный, административный и процедурный уровни
- •Программно-технические меры.
- •Список литературы
Федеральное агентство по образованию
------------------------------------------------------------------------------------------------------
Государственное образовательное учреждение высшего профессионального образования
Московский государственный строительный университет
Институт « Экономики, управления и информационных систем
в строительстве и недвижимости
Факультет «Информационных систем, технологий и автоматизации
в строительстве»
Кафедра «САПР в строительстве»
КОНСПЕКТ ЛЕКЦИЙ
по курсу
«Методы и средства защиты компьютерной информации»
для студентов специальности 230104
«Системы автоматизированного проектирования»
Автор доц. Баранова О.М.
2008
Содержание
Содержание 2
Лекция 1. Понятие информационной безопасности. 4
Основные составляющие информационной безопасности 5
Важность и сложность проблемы информационной безопасности. 6
Лекция 2. Комплексный поиск возможных методов доступа 9
Лекция 3. Законодательный уровень информационной безопасности 15
Лекция 4.1 Стандарты и спецификации в области информационной безопасности. 24
Лекция 4.2 Руководящие документы Гостехкомиссии России. 28
Расследование компьютерных преступлений. 31
Лекция 5. Административный уровень информационной безопасности. 35
Политика безопасности 36
Программа безопасности 38
Синхронизация программы безопасности с жизненным циклом систем 39
Лекция 6. Управление рисками. 40
Подготовительные этапы управления рисками 42
Основные этапы управления рисками 43
Лекция 7. Процедурный уровень информационной безопасности. 45
Управление персоналом 45
Физическая защита 47
Поддержание работоспособности 49
Реагирование на нарушения режима безопасности 50
Планирование восстановительных работ 52
Лекция 8. Основные программно-технические меры обеспечения информационной безопасности. 53
Особенности современных информационных систем, существенные с точки зрения безопасности. 55
Архитектурная безопасность 57
Лекция 9 Идентификация и аутентификация, управление доступом. 59
Парольная аутентификация 60
Одноразовые пароли 61
Идентификация/аутентификация с помощью биометрических данных 61
Управление доступом 63
Контроль целостности. 65
Методы обеспечения безотказности 66
Лекция 10 . Экранирование, анализ защищенности. 67
67
Архитектурные аспекты 68
Анализ защищенности 70
Безопасность локальных сетей 70
Основные цели сетевой безопасности 71
Лекция 11. Туннелирование и управление. 71
Туннелирование. 71
Управление. 72
Возможности типичных систем 74
Лекция 12. Заключение. 76
Что такое информационная безопасность. Основные составляющие информационной безопасности. Важность и сложность проблемы информационной безопасности. 76
Законодательный, административный и процедурный уровни 77
Программно-технические меры. 79
Список литературы 82
Лекция 1. Понятие информационной безопасности.
Словосочетание "информационная безопасность" в разных контекстах может иметь различный смысл. В Доктрине информационной безопасности Российской Федерации термин "информационная безопасность" используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.
В Законе РФ "Об участии в международном информационном обмене" информационная безопасность определяется аналогичным образом – как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.
В данном курсе наше внимание будет сосредоточено на хранении, обработке и передаче информации вне зависимости от того, на каком языке (русском или каком-либо ином) она закодирована, кто или что является ее источником, и какое психологическое воздействие она оказывает на людей.
Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.
Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.
Из этого положения можно вывести два важных следствия:
Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае "пусть лучше все сломается, чем враг узнает хоть один секретный бит", во втором – "да нет у нас никаких секретов, лишь бы все работало".
Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.
Возвращаясь к вопросам терминологии, отметим, что термин "компьютерная безопасность" (как эквивалент или заменитель ИБ) представляется нам слишком узким. Компьютеры – только одна из составляющих информационных систем, и, хотя наше внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров, ее безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек (записавший, например, свой пароль на "горчичнике", прилепленном к монитору).
Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций.
Обратим внимание, что в определении ИБ перед существительным "ущерб" стоит прилагательное "неприемлемый". Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.